11 estrategias a tener en cuenta para el éxito del ‘equipo rojo’

Los equipos rojos son un mal necesario, literalmente, en el panorama actual de ciberamenazas. Las motivaciones para participar en actividades de prueba ofensivas pueden variar desde los requisitos reglamentarios hasta las aspiraciones relacionadas con certificaciones. Los programas de seguridad verdaderamente proactivos y progresivos incorporan operaciones ofensivas casi inmediatamente a medida que se construye y define la seguridad.

La mayoría de las organizaciones comienzan con el escaneo de vulnerabilidades y luego pasan a las pruebas de penetración (pentesting), llevando el escaneo de vulnerabilidades un paso más allá del de adivinar que una vulnerabilidad podría explotarse para demostrar exactamente cómo puede ser. Los programas del equipo rojo a menudo se asocian incorrectamente con el pentesting, pero es una función muy diferente.

El pentesting busca encontrar tanto como sea posible sin un objetivo definitivo en mente, probando una amplia gama de posibles ataques para confirmar el éxito o el fracaso de ese exploit o actividad posterior al exploit. Los pentests generalmente no utilizan vectores de acceso inicial. Las operaciones de los equipos morados son una progresión natural entre el pentesting y el equipo rojo para completar esos hallazgos y mitigarlos activamente en tiempo real para aumentar la resiliencia probada frente a la posterizada.

Los equipos rojos llevan ese modelo de madurez un paso más allá al ejecutar operaciones altamente específicas utilizando el ciclo de vida completo de la piratería, desde el acceso inicial hasta la filtración de datos para atacar a las personas, los procesos y la tecnología de una organización de manera sigilosa, similar a APT. Los equipos rojos adecuados son el siguiente paso en la defensa proactiva, siguiendo las operaciones del equipo morado, antes de escalar a las verdaderas operaciones de emulación adversas.

“Desde la perspectiva del CISO, la incorporación de equipos rojos en su programa de seguridad cibernética va más allá de las listas de verificación y las evaluaciones de seguridad generales y facilita técnicas específicas y sofisticadas para resaltar vulnerabilidades, brechas y deficiencias reales para sus riesgos más prioritarios”, dice Chris Hughes, CISO en Aquia. Con los marcos modernos de cumplimiento del panorama de amenazas, marcar la casilla pentesting no es suficiente. Necesitas pensar y entrenar como tu adversario pelea e identificar rutas de ataque antes que ellos”.

Con esa perspectiva en mente, aquí hay algunas estrategias y políticas que he observado desde la perspectiva de un operador que los líderes pueden implementar para respaldar el éxito del programa del equipo rojo.

 

1. Deja de limitar el alcance del equipo rojo

Deje que los recursos de su equipo rojo pirateen la forma en que los adversarios sofisticados piratean. ¿Sabes quién no tiene alcance? Si está al alcance del enemigo, debería estar al alcance de los equipos rojos. Una vez un gerente me dijo en una reunión con otros gerentes que “se sintieran cómodos con la idea de que habrá una pérdida de productividad para ciertos usuarios por un pequeño período de tiempo durante una operación de equipo rojo. Si somos vulnerables a ese tipo de actividad, debemos saberlo con anticipación antes de que alguien sin las restricciones de sus preferencias lo intente”. Hasta hoy, ha sido lo más empoderador que jamás haya dicho un gerente en mi nombre. Su postura nos empoderó para los hallazgos más impactantes y, por lo tanto, las remediaciones impulsadas por el valor.

 

2. Reuniones obligatorias del equipo rojo

El trabajo del equipo rojo es emular a los adversarios, no estar al tanto de lo que sucede en el departamento de seguridad. Participan en resúmenes de partes interesadas e inmersiones técnicas profundas inmediatamente después de una operación, pero no asisten a reuniones como su función principal. Es mucho más efectivo hacer que un gerente esté en sintonía con la narrativa del ataque, los objetivos, los hallazgos y sus calificaciones, y luego hacer que esa persona comparta los resultados en nombre del equipo rojo.

Los miembros del equipo rojo deben ser considerados operadores "detrás de la cortina", mientras que los gerentes y líderes deben ser la primera línea de enlace. Una reunión a la que asiste todo el equipo rojo es muy costosa para su empresa y su departamento.

Por el contrario, no hagas que el equipo rojo sea completamente inaccesible. De hecho, en muchos casos suaviza su trabajo tener compenetración con otros miembros de seguridad y de la organización. Cuanto más se los vea como personas y empleados con intereses creados en el éxito de la empresa como todos los demás, menos resistencia encontrarán durante la prueba. Las reuniones centradas en la estrategia, GRC, mapeo de controles, CI/CD y otras reuniones de equipo no requieren el equipo rojo.

 

3. Llevar a cabo resúmenes de partes interesadas separados de los resúmenes técnicos

Ahorrar tiempo es una cosa, pero gran parte de la información repasada en la "mala hierba" de una inmersión técnica profunda estará fuera de la profundidad y del alcance de una reunión de partes interesadas. Parte de la audiencia se preocupará por la narrativa, las métricas a lo largo del tiempo, los hallazgos persistentes y las mitigaciones o aceptación de riesgos resultantes. El otro se ocupará de los puertos, los servicios, la sintaxis, los métodos y el propósito. Tenerlos a todos en la misma reunión para ahorrar tiempo en realidad es una pérdida de tiempo. Es más eficaz y eficiente que los equipos rojos proporcionen y entreguen por separado dos versiones de sus informes: una para ejecutivos y legos y la otra para los equipos de remediación y orientados técnicamente.

 

4. Asignar calificaciones de riesgo y hacer un seguimiento con los propietarios del riesgo

Esto sucede a nivel de las partes interesadas. Un miembro del equipo rojo puede asignar una calificación de riesgo y adivinar cómo se manejará ese hallazgo después del hecho. Sin una idea de quién es el propietario del riesgo y a quién se debe hacer un seguimiento de la remediación, su experiencia se detendrá allí. Muy a menudo en los informes ejecutivos nos preguntan: “¿Cuál fue el resultado de este hallazgo? ¿Dónde estamos con la remediación de esto?” y los equipos rojos no pueden responder. Ejecutamos en nuestro carril y lo entregamos sin hacer un seguimiento de si se remedió o incluso se revisó. Está ayudando al equipo rojo a ayudar a las partes interesadas brindándoles una persona de contacto correlacionada con el riesgo asociado con sus hallazgos.

 

5. Estandarizar la asignación de hallazgos y calificaciones de riesgo

Es hora de ir más allá de las calificaciones CVSS. Son buenos para conocer la dificultad general y la posibilidad de que se explote una vulnerabilidad en la naturaleza, pero carecen de contexto organizativo. Si se deja en manos de los equipos rojos, asignarán arbitrariamente una calificación baja, media, alta o crítica. A menudo se reúnen para discutir por qué un miembro del equipo etiquetó un hallazgo con una gravedad particular y las respuestas varían desde la dificultad hasta el acceso requerido y “¿No tenemos que pensar en esto en un sentido más amplio? Esta vez no fue tan malo, pero si es en otro lugar podría ser peor”.

La verdad es que las calificaciones asignadas a los hallazgos son subjetivas, por lo que le corresponde insertar la mayor objetividad posible en esa ecuación. Esta es una de las razones por las que soy un gran admirador de las calificaciones de riesgo inherentes y residuales. La calificación de riesgo inherente tiene en cuenta factores técnicos y temporales obteniendo una calificación de probabilidad e impacto ponderada. Luego se calculan juntos para obtener el riesgo inherente.

Esto es lo más parecido al CVSS sin filtrar que estamos acostumbrados a ver, pero con más metadatos detrás. A partir de la puntuación de riesgo inherente, que suele ser más alta, también se asigna una puntuación de control en función de la red única y los factores de mitigación de esa organización. El control multiplicado por el riesgo inherente produce un riesgo residual ponderado para esa vulnerabilidad en particular, personalizado para su organización. Esta es información mucho más valiosa.

 

6. Sea consciente de la cadencia de operaciones

Los equipos rojos no son pentesters. La cadencia de operaciones del equipo rojo es completamente diferente a la de un equipo de pentest. Los Pentesters tienen un conjunto estándar de vulnerabilidades y configuraciones erróneas que prueban para tratar de encontrar "lo más posible" para darles a los defensores la oportunidad de proteger la cosa lo mejor que puedan. Los equipos de Pentest también buscan activar alertas de forma activa y poder informar sobre los hallazgos positivos recogidos por las soluciones EDR y SIEM.

Desde el lado del evaluador, los compromisos de pentest tienen un período de prueba de dos a tres semanas, una semana para escribir el informe y luego, por lo general, dan la vuelta y dan inicio a un nuevo compromiso la próxima semana. Del lado del cliente, generalmente haces uno al año y tienes los siguientes 12 meses para remediar.

Por el contrario, los equipos rojos tienen objetivos claros y definidos que tienen un alcance limitado. No realizan todo lo que es posible. Realizan solo las acciones necesarias para lograr los objetivos porque reconocen que cada acción puede, en cualquier momento, alertar a los equipos defensivos de su presencia y los equipos rojos no quieren una carrera contrarreloj. Los equipos rojos también operan de manera clandestina y necesitan más tiempo para investigar, preparar y probar cadenas de eliminación que representen de manera realista el comportamiento de APT.

Por lo tanto, la cadencia y el ciclo de vida de una operación de equipo rojo serán más lentos y prolongados porque el alcance es toda la organización. Téngalo en cuenta al establecer los objetivos del equipo rojo y los resultados clave (OKR) para el año. Sin mencionar que muchos hallazgos generalmente surgen de una operación de equipo rojo y no todos tienen un TTP correlativo o una mitigación directa. A los equipos de remediación les llevará tiempo trabajar en los hallazgos y mitigar tanto como sea posible. Esto es para evitar que el equipo azul se sienta fatigado y pueda pedirle al equipo rojo que cancele o posponga operaciones adicionales por un trimestre dependiendo de qué tan atrasados ??estén.

 

7. Seguimiento de todas las métricas

No todas las métricas que demuestren el éxito de un programa ofensivo vendrán del equipo rojo. Las métricas del equipo rojo utilizadas para rastrear el éxito de las pruebas y, por lo tanto, la actividad de remediación incluyen el tiempo medio de permanencia: ¿Cuánto tiempo pudieron persistir en el entorno haciendo descubrimiento y pivote sin recibir alertas?

Una métrica del lado azul, además de las mitigaciones recién creadas, como las reglas SIEM y las detecciones de EDR, incluirán el tiempo medio para investigar: ¿Cuánto tiempo después de que se recibió la alerta, se tardó en comenzar a investigar y clasificar la serenidad del incidente?

Otros factores provendrán de la inteligencia de amenazas cibernéticas (CTI) y los equipos de riesgo en forma de puntajes de riesgo residual reducidos en los hallazgos, conocimiento mejorado sobre la resiliencia contra los actores de amenazas emulados y la probabilidad de que sus libros de jugadas vistos en la naturaleza sean exitosos. Los equipos de CTI podrán concentrarse en los actores de amenazas relevantes al saber definitivamente de qué tácticas se puede y no se puede defender.

Además, la concientización sobre seguridad y la capacitación en resiliencia se pueden adaptar a esos métodos. Además, las investigaciones manuales en torno a esos métodos se basarán más en el valor y no en un juego de adivinar y verificar falsos positivos o falsos negativos.

Finalmente, tener medidas y procesos de seguridad confirmados en la práctica significa que los departamentos de seguridad entregan documentación, informes y resultados a un auditor y nunca se les hace otra pregunta. GRC también puede demostrar la debida diligencia y el debido cuidado a los investigadores reguladores y las empresas de seguros de seguridad cibernética para el día inevitable en que ocurra un día cero. Cuando las actividades del equipo rojo tienen éxito, el efecto se traduce en departamentos y funciones comerciales.

 

8. Separe los roles y responsabilidades del equipo rojo

Las operaciones optimizadas del equipo rojo provienen de un ciclo de retroalimentación continuo que involucra a CTI, a los equipos rojos y a ingenieros de detección y riesgo; todos trabajando juntos para reducir la superficie de ataque en un contexto impulsado por el valor para la organización. Estos roles no se verán iguales en todos los organigramas, pero en mi opinión, es mejor tener las responsabilidades segregadas.

Muchas organizaciones de seguridad son pequeñas y tendrán a la misma persona con múltiples funciones, pero al menos un empleado de tiempo completo dedicado a cada una de estas funciones aumenta significativamente la calidad de las operaciones. Hasta ese punto, los equipos de seguridad también deben estar segregados bajo un COO, CRO o CISO, mientras que la gestión de vulnerabilidades, la gestión de remediación y las operaciones de TI deben estar bajo un CIO o CTO. Hacer que el departamento de informes (seguridad) responda al mismo jefe que las personas sobre las que informan causa fricción y hace que su líder principal sea menos defensor cuando ambas partes necesitan ser aplacadas.

 

9. Establece expectativas realistas

Cuando los equipos rojos informen un plan de operaciones, le darán los objetivos relevantes y el enfoque aproximado que planean tomar para ese fin. Por lo general, es general como "a través de RCE" o "captura de credenciales a través de MiTM". La principal preocupación de las partes interesadas es la pérdida de productividad o la denegación de servicio (DoS), y si bien ese nunca es el objetivo, el equipo rojo no enumerará cada paso y método que planea usar.

De hecho, durante el desarrollo de exploits, a menudo debemos cambiar nuestras ideas originales mientras depuramos las cargas útiles y garantizamos una ejecución TTP fluida. Ser realista con la información que obtendrá de su equipo rojo antes, durante y después de una operación disminuirá las frustraciones y la impresión de falta de voluntad por parte del equipo rojo.

 

10. Proporcione a los equipos rojos dispositivos de ataque fuera de la red

Los equipos rojos por sus propias mejores prácticas quemarán y convertirán su propia infraestructura de ataque para cada operación. Para cada operación, las necesidades de esa ruta de ataque se pondrán en marcha y se probarán nuevamente. Por parte de la administración, darles dispositivos separados de los agentes empresariales EDR, AV y SIEM les permitirá probar campañas de phishing, páginas de destino y cargas útiles, y resolver cualquier error para que no se desperdicie un tiempo de operación valioso durante el proceso. período de vulnerabilidad.

Esto parece contradictorio, pero los equipos rojos no almacenan datos confidenciales de la empresa en estos dispositivos y aún se pueden aplicar pautas seguras para ellos (contraseñas de 20 dígitos, MFA, cifrado de disco, etc.). Los equipos rojos deben almacenar la información obtenida y filtrada en una operación en un entorno de nube seguro. Por lo tanto, el dispositivo realmente sirve como terminal para devoluciones de llamada, cuyos comandos también deben registrarse en un servidor remoto. Esto es muy beneficioso para los equipos rojos porque es una pérdida de tiempo y recursos de la empresa que quemen accidentalmente una dirección IP o un dominio malicioso en las pruebas semanas antes de que comience la operación, solo para que la operación finalice en un SOC con un falso positivo. victoria.

 

11. No amplíes los objetivos del equipo rojo a mitad de la operación

A menudo sucede que una vez que se han entregado los objetivos y se ha diseñado un escenario, surge otro objetivo. Se anuncia una auditoría o se acerca una renovación y agregar algunas cosas más a la lista de objetivos no parece una gran demanda. "¿No podemos simplemente hacer que agreguen esto mientras están allí?" La respuesta es no. Una vez más, cuando un equipo rojo está en un entorno, tiene acceso a muchos recursos y podría hacer mucho, pero se mantiene en el objetivo y pasa por alto cualquier cosa que no promueva el objetivo directo. El alcance progresivo durante una operación significa que ya no se apegan a un plan de operaciones, lo que podría tener limitaciones de comportamiento impulsadas por CTI. Algunos objetivos pueden parecer estrechamente relacionados, pero deben puntuarse en su propia operación para mantenerse fieles al oficio del equipo rojo.

Se reduce a una política eficaz.

Así como la seguridad es responsabilidad de todos, el éxito de un equipo rojo es responsabilidad tanto de las partes interesadas y de los legisladores como de los propios operadores. Los líderes poseen la capacidad de abogar por sus equipos ofensivos frente a la política organizacional, los cambios y las opiniones de las partes interesadas. Reconocemos que no siempre somos el departamento favorito de todos, pero los equipos rojos no pueden ser efectivos y tener las manos atadas.

Al final del día, están ahí para hacer un trabajo para asegurar los mejores intereses de la organización y los clientes. Puede hacer su parte rompiendo los silos, comprendiendo y habilitando el comercio adecuado, y creyendo y defendiendo sus métodos cuando se cuestionan. Cualquier equipo rojo seguiría a ese líder en la guerra cibernética.